В Польше задержана группа российских хакеров-шпионов, атаковавших госучреждения стран ЕС и НАТО
Хакеры приложили немало усилий, чтобы остаться незамеченными, пока их жертва не загрузит инфицированный файл. Они использовали JavaScript для декодирования инфицированного файла при открытии веб-страницы
Российские хакеры запустили масштабную шпионскую кампанию против министерств иностранных дел и дипломатических учреждений в странах НАТО, Европейском Союзе и Африке.
О новой кибератаке хакеров сообщило главное агентство по кибербезопасности Польши.
Отмечается, что эта кампания связана группой хакеров Nobelium, также известной как APT29 или BlueBravo. Она несёт ответственность за несколько резонансных инцидентов, включая атаку на цепочку поставок SolarWinds в 2020 году, что повлияло на тысячи организаций во всем мире и привело к ряду утечек данных.
Во время войны в Украине Nobelium осуществлял кибератаки на украинскую армию, политические партии, а также международные правительства, аналитические центры и некоммерческие организации.
Новая шпионская кампания
Во время последней кампании аффилированные с россией шпионы присылали фишинговые электронные письма, выдавая себя за посольства европейских стран, определенным сотрудникам. Они добавляли вредоносную ссылку либо в теле сообщения, либо во вложенном PDF-файле.
Ссылка вела на скомпрометированный веб-сайт, содержащий хакерскую подпись EnvyScout, позволяющую хакерам сбросить вредоносные файлы на целевой компьютер.
Хакеры приложили немало усилий, чтобы остаться незамеченными, пока их жертва не загрузит инфицированный файл. Например, они использовали JavaScript для декодирования вредоносного файла при открытии веб-страницы. Затем они демонстрировали сообщения на сайте, чтобы заставить жертву подумать, что она загрузила правильный файл.
В своих предыдущих атаках Nobelium в основном использовал файлы .zip или .iso для доставки вредоносного ПО. Во время последней атаки группа также использовала .img файлы.
Когда пользователи открывают файлы .iso или .img на компьютере с Windows, они отображаются как обычные файлы и компьютер не предупреждает пользователей о том, что они загрузили эти файлы из Интернета – это облегчает распространение вредоносного ПО, отмечают в отчёте.
«Цель публикаций состоит в том, чтобы взыскать дополнительные расходы на операции против стран-союзников и обеспечить выявление, анализ и отслеживание активности пострадавших сторон и более широкой индустрии кибербезопасности», – говорится в материале Politico.
Напомним, украинские активисты взломали почту главному хакеру рф.
Кроме того, пророссийские хакеры устроили волну кибератак на Италию.
Подписывайтесь на наш Telegram-канал, чтобы не пропустить важные новости. За новостями в режиме онлайн прямо в мессенджере следите на нашем Telegram-канале Информатор Live. Подписаться на канал в Viber можно тут.
